RDS og TSE-systemer har længe været yndlingsmål for hackere, fordi de har adgang til værdifuld information, og de er relativt nemme at udnytte. Et vellykket angreb kan resultere i en række ødelæggende konsekvenser, herunder økonomisk tab, skade på brandets omdømme og tab af kundernes tillid. De fleste organisationer kommer ikke sig efter et stort sikkerhedsbrud, hvilket gør det absolut kritisk at beskytte dine brugere og kunder mod trusler, der retter sig mod applikationer og RDS-serverfilsystemer.

Remote forbindelser er lette mål for cyberangreb

Fjernskrivebord er en almindelig funktion i operativsystemer. Det giver en bruger mulighed for at logge ind på en interaktiv session med en grafisk brugergrænseflade på et fjernt system. Microsoft henviser til sin implementering af Remote Desktop Protocol (RDP) som Remote Desktop Services (RDS). Det ville være rimeligt at antage, at størstedelen af sikkerhedsrisiciene ville blive påtaget ved at køre en RDS server , og der var nogle ret berygtede udnyttelser af det i fortiden, for eksempel sårbarhed over for pass-the-hash eller MITM-angreb på ikke-krypterede forbindelser. Vi husker sandsynligvis stadig alle at have deaktiveret Fjernsupport og fjerne tilknyttede portundtagelser i firewalls som en af de første ting, vi gjorde ved installationen af Windows. Men risici forbundet med at bruge en RDP-klient ser ikke så selvindlysende. Modstandere kan oprette forbindelse til et fjernt system via RDP/RDS for at udvide adgangen, hvis tjenesten er aktiveret og tillader adgang til konti med kendte legitimationsoplysninger. Modstandere vil sandsynligvis bruge teknikker til Credential Access for at erhverve legitimationsoplysninger til brug med RDP. De kan også bruge RDP i forbindelse med teknikken Accessibility Features for Persistence. Mens du ikke vil kunne finde dokumentation om selvudbredende udnyttelser (dvs. vira, trojanere eller orme), der udnytter Fjernskrivebordsforbindelser gennem brugen af de opdaterede RDP-protokolklienter er der stadig nogle risici forbundet med at oprette forbindelse til RDP-servere:

• Brugeraktivitetssporing og tastelogging I essensen kunne en RDP-server logge alle dine aktiviteter på den, herunder de websteder, du besøger, filer du downloader, dokumenter du tilgår og ændrer, adgangskoder du indtaster for at få adgang til fjernservices gennem RDP-serveren, grundlæggende holde styr på din komplette brugersession.

• Infektion af klient gennem fjernhostede filer Enhver fil, du downloader fra serveren, der hoster en RDP-session, kan være blevet manipuleret med eller inficeret med malware. Du kan fejlagtigt stole på nogen af disse filer, idet du tror, at da du downloadede dem under din tidligere RDP-session, ikke var de blevet manipuleret med eller inficeret i mellemtiden, mens du overførte dem til din RDP-klient og åbnede/udførte/...

• Mand-i-midten (MITM-angreb) Ligesom med brugerens aktivitetsregistrering, er angriberen denne gang aktiv på RDP-serveren, du opretter forbindelse til, og lytter til din RDP-klient til RDP-serverforbindelse, RDP-server til fjern LAN/WAN-forbindelser, eller muligvis begge. Udover at kunne inspicere indholdet af de udvekslede netværkspakker, kan manden-i-midten også ændre deres indhold. RDP-sessionen kan krypteres ved hjælp af TLS, hvilket effektivt forhindrer aflytning af den, men det er ikke nødvendigvis tilfældet, hvor du opretter forbindelse (fjern LAN eller WAN) ved hjælp af RDP-serveren.

• Social engineering angreb Du kunne være et offer for et social engineering-angreb, hvor angriberen opnår din tillid under falske forudsætninger og narre dig til at indtaste en RDP-serveradresse, som du tror kan stole på i din RDP-klient, mens du opretter en ny session, men den adresse, du indtastede, er faktisk valgt af angriberen. Angriberen kunne hoste en RDP-server på den adresse med det ene formål at optage dine loginoplysninger til en anden, rigtig RDP-server, som du havde til hensigt at oprette forbindelse til.

Beskyt din RDS-server mod enhver ondsindet person

Vi har sandsynligvis udeladt mange andre muligheder for at misbruge brugernes tillid til RDP-serveren, de opretter en session med, men brugeren antager alligevel denne tillid og undlader at se den potentielle fare ved at gøre det. Disse fire eksempelangrebsvektorer bør forhåbentlig være nok til at demonstrere, at der er et klart behov for at bruge RDS-Knight for at forhindre brute force-angreb og beskytte dine RDS-servere. RDS-Knight sikkerhedsløsning består af et robust og integreret sæt af sikkerhedsfunktioner til at beskytte mod disse Remote Desktop-angreb. Vi er det eneste firma, der leverer en komplet løsning med dokumenteret ydeevne og sikkerhedseffektivitet for at imødekomme de stigende krav fra hostede RDS-servere.